U središtu

Nadležnost za pokretanje sudskih postupaka zbog povreda GDPR-a u vezi s prekograničnom obradom podataka

19.01.2021 Nezavisni odvjetnik Bobek: tijelo za zaštitu podataka u državi u kojoj voditelj ili izvršitelj obrade podataka ima svoj glavni poslovni nastan u Uniji ima opću nadležnost za pokretanje sudskih postupaka zbog povreda GDPR-a u vezi s prekograničnom obradom podataka. Druga nacionalna tijela za zaštitu podataka ipak su ovlaštena pokrenuti takve postupke u svojim državama članicama u slučajevima u kojima im GDPR izričito dopušta da to učine.

Sud Europske unije
PRIOPĆENJE ZA MEDIJE br. 1/21
U Luxembourgu 13. siječnja 2021.

Mišljenje nezavisnog odvjetnika u predmetu C-645/19
Facebook Ireland Limited, Facebook INC, Facebook Belgium BVBA/
Gegevensbeschermingsautoriteit

Belgijsko tijelo za zaštitu podataka u rujnu 2015. pokrenulo je postupak pred belgijskim sudovima protiv nekoliko društava koja pripadaju Grupi Facebook (Facebook), odnosno protiv društava Facebook INC, Facebook Ireland Ltd, koje je glavni poslovni nastan grupe u Uniji, i Facebook Belgium BVBA (Facebook Belgium). U tim je postupcima tijelo za zaštitu podataka zahtijevalo da se Facebooku naloži prestanak, u odnosu na sve korisnike interneta nastanjene u Belgiji, postavljanja bez njihove suglasnosti određenih kolačića na uređaje kojima se koriste kada pregledavaju internetske stranice na domeni Facebook.com ili kada odu na internetske stranice trećih osoba kao i prestanak prikupljanja u pretjeranoj mjeri podataka na internetskim stranicama trećih osoba putem dodataka društvenoj mreži i piksela. Usto, ono je zahtijevalo uništenje svih osobnih podataka o svim korisnicima interneta na belgijskom državnom području koji su prikupljeni putem kolačića i dodataka društvenoj mreži.

Predmetni postupci trenutačno se vode pred Hofom van beroep te Brussel (Žalbeni sud u Bruxellesu, Belgija), pri čemu je njihov opseg ipak ograničen na društvo Facebook Belgium jer je navedeni sud prethodno utvrdio da nije nadležan u odnosu na tužbe protiv društava Facebook INC i Facebook Ireland Ltd. U tom kontekstu, društvo Facebook Belgium navodi da je belgijsko tijelo za zaštitu podataka stupanjem na snagu Opće uredbe o zaštiti podataka (GDPR)¹ izgubilo procesnu legitimaciju za nastavljanje predmetnih sudskih postupaka protiv Facebooka. Ono navodi da, u skladu s GDPR-om, samo tijelo za zaštitu podataka države u kojoj Facebook ima glavni poslovni nastan u Uniji (takozvano vodeće tijelo za zaštitu podataka u Uniji za Facebook), odnosno Irish Data Protection Commission, ima ovlast pokretanja sudskih postupaka protiv Facebooka zbog povreda GDPR-a u vezi s prekograničnom obradom podataka.

U tim je okolnostima Hof van beroep te Brussel uputio Sudu pitanje sprečava li GDPR uistinu nacionalna tijela za zaštitu podataka koja nisu vodeće tijelo za zaštitu podataka da pokrenu sudske postupke u svojim državama članicama zbog povreda njihovih pravila o prekograničnoj obradi podataka.

U svojem današnjem mišljenju nezavisni odvjetnik Michal Bobek smatra, kao prvo, da iz teksta² GDPR-a proizlazi da vodeće tijelo za zaštitu podataka ima opću nadležnost u pogledu prekogranične obrade, uključujući za pokretanje sudskih postupaka zbog povrede GDPR-a, te da, posljedično, ostala tijela za zaštitu podataka imaju samo ograničenu nadležnost u tom pogledu.

Kad je riječ o činjenici da GDPR svakom tijelu za zaštitu podataka dodjeljuje ovlast pokretanja sudskih postupaka zbog mogućih povreda koje se odnose na njihova područja, nezavisni odvjetnik ističe da je ta ovlast izričito ograničena u pogledu prekogranične obrade podataka, i to upravo radi omogućavanja vodećem tijelu za zaštitu podataka da izvršava svoje zadaće u tom pogledu.

Kao drugo, nezavisni odvjetnik podsjeća na to da je razlog za uvođenje jedinstvenog mehanizma utvrđenog u GDPR-u, u okviru kojeg je važna uloga dana vodećem tijelu za zaštitu podataka te su uspostavljeni mehanizmi suradnje kako bi se uključila druga tijela za zaštitu podataka, bio upravo rješavanje određenih nedostataka koji su proizlazili iz ranijeg zakonodavstva³. Naime, gospodarski subjekti morali su poštovati različite skupove nacionalnih pravila kojima se to zakonodavstvo provodilo te istodobno kontaktirati sa svim nacionalnim tijelima nadležnima za zaštitu podataka, što je bilo skupo, naporno i vremenski zahtjevno za gospodarske subjekte te je za njih i njihove klijente usto bilo izvor nesigurnosti i sukoba.

Kad je riječ o argumentima koji se odnose na pristup zainteresiranih ispitanika sudovima, nezavisni odvjetnik ističe da oni postupak protiv voditelja obrade ili izvršitelja obrade mogu izravno pokrenuti, inter alia, pred sudovima države članice u kojoj borave. Usto, nezavisni odvjetnik ističe da ispitanici mogu pritužbu podnijeti tijelu za zaštitu podataka svoje države članice, čak i kad je vodeće tijelo za zaštitu podataka ono druge države članice. Ako pritužba bude odbijena, prvonavedeno tijelo donosi odgovarajuću odluku i dostavlja je ispitaniku, tako da on može protiv nje pokrenuti postupak pred sudovima svojeg boravišta.

Kao treće, nezavisni odvjetnik ističe da se vodeće tijelo za zaštitu podataka ne može smatrati jedinim provoditeljem GDPR-a u prekograničnim situacijama te mora, u skladu s relevantnim pravilima i vremenskim ograničenjima utvrđenima GDPR-om, usko surađivati s drugim zainteresiranim tijelima za zaštitu podataka, čiji je doprinos u ovom području vrlo bitan.

Kao četvrto, nezavisni odvjetnik ističe da nacionalna tijela za zaštitu podataka, čak i kada ne djeluju kao vodeća tijela, ipak mogu pokretati postupke pred sudovima svojih država članica u slučaju prekograničnih obrada u različitim situacijama. Među njima su osobito sljedeće situacije: kada nacionalna tijela za zaštitu podataka i.) djeluju izvan materijalnog područja primjene GDPR-a, ii.) ispituju prekograničnu obradu podataka koju obavljaju tijela javne vlasti, u javnom interesu, u okviru izvršavanja službene ovlasti ili od strane voditelja obrade koji nemaju poslovni nastan u Uniji, iii.) donose hitne mjere ili iv.) interveniraju nakon što je vodeće tijelo za zaštitu podataka odlučilo da neće rješavati predmet.

U skladu s navedenim, nezavisni odvjetnik smatra da GDPR dopušta tijelu za zaštitu podataka države članice da pokrene postupak pred sudom te države zbog navodne povrede GDPR-a u kontekstu prekogranične obrade podataka, iako nije vodeće tijelo za zaštitu podataka koje ima opću ovlast pokretanja takvih postupaka, pod uvjetom da to učini u situacijama u kojima mu GDPR konkretno dodjeljuje ovlasti u tu svrhu i prema odgovarajućim postupcima utvrđenima u GDPR-u.

___________________

^ 1 Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) (SL 2016., L 119, str. 1.). GDPR je stupio na snagu 24. svibnja 2016. te se primjenjuje od 25. svibnja 2018.

^ 2 Uvodna izjava 124., članak 56. stavci 1. i 6.

^ 3 Direktiva 95/46/EZ

U središtu

Glavne promjene koje donosi novi Zakon o upravnim sporovima – 4. epizoda (rasprava i rješavanje spora bez rasprave; radnje u sporu) U prethodnoj epizodi serijala bavili smo se dokazivanjem u upravnome sporu. 1 U ovoj epizodi donosimo glavne novosti na području rasprave 2 i rješavanja upravnoga spora bez rasprave, te radnji u sporu. 19.04.2024 Osvrt na Zakon o sportu i Pravilnik o preoblikovanju sportskog kluba – udruge za natjecanje u sportsko dioničko društvo Važeći Zakon o sportu omogućuje preoblikovanje sportskog kluba – udruge za natjecanje u sportsko dioničko društvo. Način, rokovi te druga pitanja značajna za provedbu preoblikovanja sportskog kluba – udruge za natjecanje u sportsko dioničko društvo sada regulira podzakonski akt, Pravilnik o preo... 18.04.2024 Kadrovske promjene nakon raspisanih parlamentarnih izbora Autorica u članku aktualizira pitanje kadrovskih promjena u državnim tijelima u postupku primopredaje državne vlasti, osobito pitanje u kojem razdoblju traje zabrana kadrovskih promjena, s obzirom na raspuštanje Hrvatskoga sabora i raspisane parlamentarne izbore. 15.04.2024 Glavne promjene koje donosi novi Zakon o upravnim sporovima – 3. epizoda (dokazivanje u upravnome sporu) U prethodnoj epizodi serijala bavili smo se odgodnim učinkom tužbe, privremenim mjerama, te tužbom i tužbenim zahtjevom. 1 U ovoj epizodi donosimo glavne novosti na području dokazivanja (utvrđivanja) činjenica odlučnih za rješavanje spora. 12.04.2024 Novine u sustavu plaća i drugih materijalnih prava pravosudnih dužnosnika Plaće i druga materijalna prava pravosudnih dužnosnika u Republici Hrvatskoj uređeni su Zakonom o plaći i drugim materijalnim pravima pravosudnih dužnosnika (u nastavku teksta: Zakon) 1 . Taj Zakon mijenjan je i dopunjavan više puta, s tim da je značajna intervencija u Zakon izvršena 2014. godi... 11.04.2024 O (ne)mogućnosti imenovanja stečajnog upravitelja u stečajnom postupku nad osiguravajućim društvima Materija osiguranja je iznimno kompleksna, kako s pravnog aspekta tako i s ekonomsko-financijskog, pa se zakonodavac odlučio „statusnim“ zakonom, Zakonom o osiguranju , koji regulira osnivanje i rad osiguratelja, regulirati i materiju stečaja osiguravajućih društava. Predmet su analize važeće norme... 10.04.2024 Izbor zastupnika u Hrvatski sabor Nakon što je Hrvatski sabor dana 14. ožujka 2024. godine donio Odluku o svom raspuštanju („Narodne novine“, broj 31/24.), predsjednik Republike Hrvatske donio je Odluku o raspisivanju izbora za zastupnike u Hrvatski sabor („Narodne novine“, broj 32/24.), koji će se na biračkim mjestima u Republ... 08.04.2024 Više ...